Chromeバージョン56、BlueCoat等のプロキシ環境下で接続不能に
「Chrome 56の暗号化処理アップデートにより、BlueCoatを使う数千のマシンが接続不能に」
Google Chromeのバージョンが56になったことで、シマンテックのBlueCoatなどのプロキシ環境下で、通信が不可能になりました。この製品は、学校でも使われているのですが、米国の学校ではChromeBookが人気なため、ブラウザが事実上Chrome固定。このため、アップデートにあわせて外部接続不能、という事態に陥ったところもあるようです。
これは、Chrome 56が暗号化規格としてTLS1.3「のみ」を許可するようになったためです。BlueCoatはTLS1.2までしか対応しておらず、通信そのものが不可能になってしまったのです。
対策は、ブラウザごとに「chrome://flags/#ssl-version-max」にアクセスして、「デフォルト」を「TLS 1.2」に変更することです。
ところで、TLS1.3のドラフトはGitHub上にありますが、前掲記事にもある通り、この規格はまだ策定中(ドラフト)です。
TLS1.3については、2016年12月23日に書かれた次の記事に、「9月の」状況が書いてあります。
TLS1.3は、IETFでInternet-Draftとして発行されるものだけでもほぼ月1回、githubで公開されるものに至っては毎日、ちょっとずつ更新がかかっている状況
実際、日本で3月3日朝にアクセスした時は「March 02」となってました。
ちょっと、この状態での「TLS1.3以外は認めない」という対応は、Googleさんやりすぎじゃないですかねえ、と思わざるを得ません。ドラフトが日々変わる状況ですから、「TLS 1.3」といっても認識に相違が生じることもあるでしょう。
セキュリティのために可用性が失われる、というのはセキュリティ界隈の人にありがちな発想ですが、社会インフラ化している現在のインターネット上では行き過ぎに思えます。そこまでセキュリティを重視するなら、GoogleのAndroidの脆弱性が多くの端末が未対応な件だって、(たとえGoogleで確認できた実害が少ないといっても、そしてメーカーやキャリアの問題があっても)対応する責任があるんじゃないでしょうか。
RIAA等、ISPにフィルタリングを求める
先日英国で、検索エンジン側と著作権団体との間で、海賊版へのリンク順位を低下させる協定が結ばれましたね。
一方、米国ではRIAA等がDMCA(デジタル・ミレニアム著作権法)を改訂し、プロバイダ側でフィルタリングを実施させるべきだ、という要求を出しています。
「RIAA等著作権団体、ISPに海賊版フィルタの導入を要求」
フィルタリングに加えて、サーバを提供する者に対しても、海賊版の削除に数日を要することは受け入れられない(ISPs taking days to deal with a takedown request is no longer acceptable.)とも主張しています。
ちなみに上記記事の後半にあるように、Googleには月間数百万件のリンク削除依頼が来るそうですが、その99%以上がGoogleではインデックス化さえされていないそうです。
FCC新議長、通信業者への規制の撤廃へ
米FCC(連邦通信委員会)は、オバマ政権下ではTom Wheeler氏が強力な消費者保護政策をとっていましたが、トランプ政権で新たに任命された新議長Ajit Paiは、かなり通信業者寄りの政策を進めています。
最近だけでも(ソースは偏りますが)次のような記事が次々と出ています。なお、背景として米国ではケーブルテレビ業界がかなりの力をもっていることを考慮する必要があります。
合併時の制約
「競争を望まないプロバイダに良いニュース、FCC議長から」
固定回線プロバイダの合併に際して、従来は広帯域通信競争を促すような条件をつけていたのに対して、それを外そうという話が多数流れているという話題。
プライバシー(ブラウズ履歴の広告利用を含む)
「FCC、利用者のプライベートなデータを保護する規則を停止へ」
「FCCのパイ議長、新しいプライバシー規則のブロックを急ぐ」
前委員長下で進められた、各種利用者データ(社会保障番号、財産や医療情報、ブラウズ履歴など)の保護をプロバイダに強制する規則の施行を保留する動きがあるという話題。ちなみに、この規制には「ブラウズ履歴を広告業者を共有する際は明示的な許諾を得ること」も含んでいます。
ネット中立性
「FCCのアジット・パイ議長、ネット中立性を『間違い』と発言」
前体制下で規制の必要性が検討されようとしたものの、大統領選の結果を受けて共和党からの横槍で中止となった「ゼロ・レーティング(特定の通信だけ無料化する措置)」など、ネット中立性に対するあからさまな攻撃意思を示しています。
ネット中立性が損なわれると、キャリアが利用サービスごとに異なる接続料金を設定できてしまうため、キャリア傘下のサービス(と既存の大規模事業者)以外が使いづらくなり、新しいネットサービスの登場を妨げることが懸念されています。ちょっと極端な例としては「動画はdTV以外、特別接続料がかかります」といった世界を想像すると分かりやすいのでは。
それ本当?
「FCCトップのアジット・パイ氏曰く「通信キャリアの無制限データ通信プランについて私に感謝するといい」」
最近米国では携帯キャリアが無制限データ通信プランを展開して話題になっていますが、これを自分お手柄として述べています。
この記事はそれに対する反論です。そもそも無制限通信プランは昨年8月にT-mobileが導入、Sprintはその前から導入済みなど。
欧州プライバシー保護機関、改めてWindows10の問題を指摘
「EUのプライバシー監視部門、Windows 10(データ収集)設定に対して依然として懸念」
Windows 10のデータ収集問題について、EUの「データ保護指令第29条作業部会(Article 29 Working Party)」が、新たに厳しい目を向けています。
「提案されているWindows 10の変更を考慮しても、当作業部会としては、利用者データの保護レベルについて懸念せざるをえない」 「マイクロソフトは明確に、どのような個人データを、どのような目的で処理するのかを示さなければならない。そういった情報なしには、同意のための情報は(利用者には)与えられておらず、したがって同意も無効である」
マイクロソフト側は次期大型アップデート(Creators Update)でインストール時設定などを改めるとしていますが、Woody Leonhard氏も述べているように、収集するデータが減少するわけではありません。
USB Killerが「V3」に。USB-CやLightningにも対応
Androidの脆弱性、実際の影響はほぼ皆無?
「Google、Androidの『甚大な』Stagefright脆弱性は『影響は皆無』と主張」
先日(2/13-17)行われたRSAカンファレンスUSAにて、Androidのセキュリティを管轄するAdrian Ludwig氏が発表を行い、Stagefright脆弱性による実際の影響は何ら確認されていないと述べました。
また、他にもAndroidでは多数の端末に影響するとされる脆弱性が何回も発見されていますが、それらによる実際の侵害事例は、ゼロではないもののごく少数と述べています(例:MasterKey脆弱性の場合、100万ユーザーにつき最大8件)。
たしかに、Androidでマルウェアというと、Google Play以外で落としたアプリの問題が多い印象があります(Google Playでも時々見つかってますが)。Drive-by-download型などがあまり見られないのは、やはりユーザ権限を限定し、初期設定では公式ストア以外からのインストールを禁止していることが大きい印象です(発表でもそう述べられています)。
ただし、国家レベルの侵入の場合は、ターゲットが明確なため、この話とは違う世界があるはずです。スノーデン氏によるNSA暴露資料でも、iOSを含めた侵入が前提でしたし。
ジャーナリストらを狙う丁寧なソーシャルハック
「サイバー諜報作戦の中心にいるミステリアスな女性」
中東のカタールでは、2022年のFIFAワールドカップのために、多数の施設が建設されつつありますが、それを担う労働者は多くが南アジアからの出稼ぎで、不当な契約により搾取されているとされています。そこでジャーナリスト等が入って調べているのですが、彼らを狙うフィッシング作戦が行われているとの話があります。
作戦の中核にいるのが、Safeena Malikという女性。といっても、基本的には偽の存在です。「彼女」は多くの場合、カタールの移民労働法に関心をもった人物というペルソナをもっており、電子メールやLinkedIn, Facebookで数ヶ月交流を深め、最終的に偽のgoogleログインページを通じてパスワードなどを窃取します。被害者は30名以上とのこと。
軍事などの機密レベルでなくても、ここまでリソースを投入する場合があるのは少々驚きです。
